For enkelhets skyld installerer vi tilleggspakker:
$ sudo yum install bash-completion vim
For å aktivere kommandofullføring, krever bash-fullføring å bytte til bash.
Legger til flere DNS-navn
Dette vil være nødvendig når du trenger å koble til administratoren ved å bruke et alternativt navn (CNAME, alias eller bare et kort navn uten domenesuffiks). Av sikkerhetsgrunner tillater lederen tilkoblinger kun ved å bruke den tillatte listen over navn.
Opprett en konfigurasjonsfil:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Et eksempel på et masterarbeid
$ sudo ovirt-engine-extension-aaa-ldap-oppsett
Tilgjengelige LDAP-implementeringer:
...
3 - Active Directory
...
Vennligst velg: 3
Vennligst skriv inn Active Directory-skogens navn: example.com
Vennligst velg protokollen som skal brukes (startTLS, ldaps, plain) [startTLS]:
Velg metode for å få PEM-kodet CA-sertifikat (fil, URL, innebygd, system, usikker): URL
URL: wwwca.example.com/myRootCA.pem
Skriv inn søkebruker-DN (for eksempel uid=brukernavn,dc=eksempel,dc=com eller la stå tomt for anonym): CN=oVirt-Engine,CN=Brukere,DC=eksempel,DC=com
Skriv inn søkebrukerpassord: *passord*
[ INFO ] Forsøker å binde ved hjelp av «CN=oVirt-Engine,CN=Users,DC=example,DC=com»
Skal du bruke Single Sign-On for virtuelle maskiner (Ja, Nei) [Ja]:
Vennligst spesifiser profilnavn som vil være synlig for brukere [example.com]:
Vennligst oppgi legitimasjon for å teste påloggingsflyten:
Skriv inn brukernavn: someAnyUser
Skriv inn brukerpassord:
...
[INFO] Påloggingssekvens utført
...
Velg testsekvens som skal utføres (Ferdig, Avbryt, Logg inn, Søk) [Ferdig]:
[INFO] Stadium: Transaksjonsoppsett
...
SAMMENDRAG AV KONFIGURASJON
...
Bruk av veiviseren passer i de fleste tilfeller. For komplekse konfigurasjoner utføres innstillingene manuelt. Flere detaljer i oVirt-dokumentasjonen, Brukere og roller. Etter vellykket tilkobling av motoren til AD, vil en ekstra profil vises i tilkoblingsvinduet og på fanen Tillatelser Systemobjekter har muligheten til å gi tillatelser til AD-brukere og -grupper. Det skal bemerkes at den eksterne katalogen over brukere og grupper ikke bare kan være AD, men også IPA, eDirectory, etc.
Flervei
I et produksjonsmiljø må lagringssystemet være koblet til verten via flere uavhengige, flere I/O-baner. Som regel er det i CentOS (og derfor oVirt) ingen problemer med å sette sammen flere baner til en enhet (find_multipaths ja). Ytterligere innstillinger for FCoE er skrevet inn 2. del. Det er verdt å ta hensyn til anbefalingen fra lagringssystemprodusenten - mange anbefaler å bruke round-robin-policyen, men som standard i Enterprise Linux 7 brukes tjenestetid.
Ris. 2 - flere I/O-policyer etter bruk av innstillinger.
Sette opp strømstyring
Lar deg utføre for eksempel en maskinvaretilbakestilling av maskinen hvis motoren ikke er i stand til å motta svar fra verten over lengre tid. Implementert gjennom Gjerdeagent.
Beregn -> Verter -> HOST — Rediger -> Strømstyring, aktiver deretter "Aktiver strømstyring" og legg til en agent - "Legg til gjerdeagent" -> +.
Vi angir typen (for eksempel for iLO5 må du spesifisere ilo4), navnet/adressen til ipmi-grensesnittet, samt brukernavnet/passordet. Det anbefales å opprette en separat bruker (for eksempel oVirt-PM) og, i tilfelle av iLO, gi ham privilegier:
Logg inn
Fjernkonsoll
Virtuell kraft og tilbakestilling
Virtuelle medier
Konfigurer iLO-innstillinger
Administrer brukerkontoer
Ikke spør hvorfor det er slik, det ble valgt empirisk. Konsollgjerdeagenten krever færre rettigheter.
Når du setter opp tilgangskontrolllister, bør du huske på at agenten ikke kjører på motoren, men på en "nabo" vert (den såkalte Power Management Proxy), dvs. hvis det bare er en node i klyngen, strømstyring vil fungere vil ikke.
Sette opp SSL
Fullstendige offisielle instruksjoner - in dokumentasjon, Vedlegg D: oVirt og SSL — Erstatter oVirt Engine SSL/TLS-sertifikatet.
Sertifikatet kan enten være fra vår bedrifts-CA eller fra en ekstern kommersiell sertifiseringsinstans.
Viktig merknad: Sertifikatet er ment for tilkobling til lederen og vil ikke påvirke kommunikasjonen mellom motoren og nodene - de vil bruke selvsignerte sertifikater utstedt av motoren.
krav:
sertifikat for den utstedende CA i PEM-format, med hele kjeden opp til rot-CA (fra den underordnede utstedende CA i begynnelsen til roten på slutten);
et sertifikat for Apache utstedt av den utstedende CA (også supplert med hele kjeden av CA-sertifikater);
privat nøkkel for Apache, uten passord.
La oss anta at vår utstedende CA kjører CentOS, kalt subca.example.com, og forespørslene, nøklene og sertifikatene er plassert i katalogen /etc/pki/tls/.
Vi utfører sikkerhetskopier og oppretter en midlertidig katalog:
Klar! Det er på tide å koble til administratoren og sjekke at tilkoblingen er beskyttet av et signert SSL-sertifikat.
Arkivering
Hvor ville vi vært uten henne? I denne delen vil vi snakke om lederarkivering; VM-arkivering er et eget problem. Vi vil lage arkivkopier en gang om dagen og lagre dem via NFS, for eksempel på samme system der vi plasserte ISO-bildene - mynfs1.example.com:/exports/ovirt-backup. Det anbefales ikke å lagre arkiver på samme maskin som motoren kjører.
Nå kan du koble til verten: https://[Verts-IP eller FQDN]:9090
VLAN
Du bør lese mer om nettverk i dokumentasjon. Det er mange muligheter, her vil vi beskrive å koble til virtuelle nettverk.
For å koble til andre undernett må de først beskrives i konfigurasjonen: Nettverk -> Nettverk -> Nytt, her er kun navnet et obligatorisk felt; VM Network-avmerkingsboksen, som lar maskiner bruke dette nettverket, er aktivert, men for å koble til må taggen være aktivert Aktiver VLAN-tagging, skriv inn VLAN-nummeret og klikk OK.
Nå må du gå til Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Dra det tilførte nettverket fra høyre side av ikke-tilordnede logiske nettverk til venstre til tilordnede logiske nettverk:
Ris. 4 - før du legger til et nettverk.
Ris. 5 - etter å ha lagt til et nettverk.
For å koble flere nettverk til en vert i bulk, er det praktisk å tilordne en etikett(er) til dem når du oppretter nettverk, og legge til nettverk etter etiketter.
Etter at nettverket er opprettet, vil vertene gå inn i ikke-operativ tilstand til nettverket er lagt til alle noder i klyngen. Denne oppførselen er forårsaket av Krev alle-flagget i kategorien Klynge når du oppretter et nytt nettverk. I tilfelle nettverket ikke er nødvendig på alle noder i klyngen, kan dette flagget deaktiveres, så når nettverket legges til en vert, vil det være til høyre i delen Ikke nødvendig, og du kan velge om du vil koble til det til en bestemt vert.
Ris. 6 – velg et nettverkskravattributt.
HPE spesifikk
Nesten alle produsenter har verktøy som forbedrer brukervennligheten til produktene deres. Ved å bruke HPE som eksempel, er AMS (Agentless Management Service, amsd for iLO5, hp-ams for iLO4) og SSA (Smart Storage Administrator, arbeider med en diskkontroller), etc. nyttige.
Koble til HPE-depotet
Vi importerer nøkkelen og kobler til HPE-lagrene:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Et eksempel på et verktøy for å jobbe med en diskkontroller
Det er alt for nå. I de følgende artiklene planlegger jeg å snakke om noen grunnleggende operasjoner og applikasjoner. For eksempel hvordan lage VDI i oVirt.